Het IAB Consent Framework voor cookie-toestemming overtreedt de GDPR: wat nu?

De problemen met cookies zijn nog niet ten einde: autoriteiten in België en Ierland hebben het meest gebruikte framework voor het vragen van toestemming voor cookies naar de prullenbak verwezen. Wat zijn de bezwaren en wat mag er momenteel wel en niet?

Het nieuws zou moeten inslaan als een bom, maar het lijkt aan de aandacht van velen voorbij te zijn gegaan: Google en een groot deel van de online advertentiebranche plaatsten cookies op een manier die niet voldoet aan de Europese privacywetgeving. Ze gebruiken namelijk het systeem van het Interactive Advertising Bureau (IAB) Europe om goedkeuring te vragen aan gebruikers voor het plaatsen van cookies.

IAB Europe is stevig op de vingers getikt door de Belgische Gegevensbeschermingsautoriteit en de Ierse Raad voor Burgerrechten (ICCL, Irish Council for Civil Liberties). De kritiek ging over het systeem dat het IAB gebruikt voor het vragen van goedkeuring voor het installeren van cookies. Het IAB werkt met het Transparency & Consent Framework (TCF), dat bezoekers de controle moet geven over hoe hun gebruiksgegevens mogen worden gebruikt door de online advertentiemarkt. Maar nu blijkt dat IAB Europe met zijn eigen cookieregels de Europese privacywetgeving (GDPR) overtreedt.

Wat mag wel?

Sommige cookies zijn noodzakelijk en mogen geplaatst worden zonder uitdrukkelijke goedkeuring van de gebruiker. In veel gevallen gaat het dan om cookies die het mogelijk maken om de inhoud van een winkelwagentje te bewaren of cookies die worden gebruikt om de veiligheid van een bankapplicatie te garanderen. Maar in de meeste gevallen mag een cookie of een trackingcode alleen worden geïnstalleerd of gelezen als de gebruiker vooraf helder is geïnformeerd over wat deze cookies doen en waarom ze worden gebruikt. Bovendien moet de gebruiker zelf toestemming hebben gegeven voor het gebruik van deze niet-functionele cookies.

Wat zijn de bezwaren op het TCF?

Het IAB Consent Framework – dat door ruim 80% van de Europese websites en apps wordt gebruikt – werkt met zogenoemde TC-strings. In die strings wordt een reeks gecodeerde tekens gebundeld die alle relevante informatie bevatten over de toestemming van de gebruiker met betrekking tot de verwerking van zijn of haar persoonsgegevens in het kader van de AVG.

Het huidige bezwaar tegen het IAB Consent Framework is dat het verzoeken naar derden niet blokkeert als de gebruiker geen toestemming geeft voor het delen van gegevens met externe adverteerders. In plaats daarvan wordt de volledige aanvraag naar de adverteerder gestuurd, met een TC-string eraan gekoppeld waarin staat of de gebruiker al dan niet toestemming heeft gegeven voor cookies. Met andere woorden: als een gebruiker geen toestemming geeft om cookiedata met adverteerders te delen, worden die data tóch met adverteerders gedeeld, met daarbij een soort label dat zegt dat de data niet gebruikt mogen worden omdat daar geen toestemming voor is gegeven.

Er moet dus maar op vertrouwd worden dat dit soort “vertrouwde partners” de cookiedata van gebruikers inderdaad niet misbruiken. Dat is in strijd met de AVG. Daar komt bij dat sommige cookiemeldingen zo onbegrijpelijk en uitgebreid zijn dat het bijna onmogelijk is om toestemming te weigeren en heeft de consument in feite dus geen echte keuze. Tot slot is het ook niet toegestaan om gebruik te maken van een standaard aangevinkt selectievakje voor het plaatsen van trackingcookies.

Hoe nu verder?

Het oordeel over het IAB Consent Framework is vooral relevant voor uitgevers en adverteerders. Uitgevers en websites gaan er waarschijnlijk vanuit dat ze met het IAB Consent Framework voldoen aan de regels rond de toestemming voor cookies, maar in feite overtreden ze de privacyvoorschriften van de GDPR. Politici in Den Haag en Brussel maken zich al langer druk om het onrechtmatig gebruik van cookies en cookie walls.

Iedere uitgever zou daarom onmiddellijk moeten stoppen met het verzenden van data naar adverteerders als een gebruiker daar geen toestemming voor heeft gegeven. Dit kan een flinke impact hebben op de mogelijkheid om retargeted advertenties te tonen aan bezoekers, omdat juist daarvoor deze cookie-informatie wordt gebruikt. En juist deze advertenties zijn het meest waardevol en leveren de hoogste conversie op. Toch is dat de consequentie van de uitspraak van de Belgische Gegevensbeschermingsautoriteit en de Ierse ICCL. Totdat er een nieuwe, correcte manier is geïmplementeerd voor de cookie consent-melding zouden adverteerders alleen contextuele advertenties of niet-gepersonaliseerde advertenties moeten tonen.

Alternatieven voor het IAB Consent Framework

Intussen kunnen organisaties besluiten om een andere methode te gebruiken voor het vragen van toestemming van gebruikersgegevens. Zeker als een website voor zijn inkomsten niet (volledig) afhankelijk is van advertenties zouden ze moeten overstappen op het gebruik van een Consent Management Framework waarbij daadwerkelijk verzoeken worden geblokkeerd en niet worden verzonden als de gebruiker daarvoor geen toestemming geeft.

Vervolgstappen

Het is duidelijk dat het cookieprobleem voor velen nog niet is opgelost. De enige brede standaard die momenteel wordt gebruikt is nu onwettig verklaard. Waarschijnlijk krijgt IAB Europe zes maanden de tijd om de overtredingen van de AVG te herstellen. Tot die tijd moeten uitgevers snel een andere manier vinden om cookies te gebruiken die wel aan de wetgeving voldoet. Zorg ervoor dat er geen cookie, tracking-code of pixel wordt geladen voordat de bezoeker daarvoor toestemming heeft gegeven, behalve dan de code om de consent-pop-up of -balk te tonen. Als dat je businessmodel in de war gooit, zoek dan naar alternatieven zoals contextuele advertenties of gebruik een ander framework voor het vragen en afhandelen van cookie-toestemming.

Over de auteur: Vincent de Winter is Regional Manager Benelux bij Piwik PRO.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.